Husker du tilbake på begynnelsen av åttitallet da AT&Ts slagord var "Reach Out and Touch Someone"? Tilsynelatende tok cyberkriminelle det bokstavelig talt i april i år da de nådde ut og rørte anropsloggdataene for over en million AT&T-kunder.

19. april fikk AT&T vite at inntrengere hevdet å ha tilgang til dataene deres. Inntrengerne stjal deretter AT&T-loggdata relatert til trådløse samtaler og tekstmeldinger mellom 1. mai og 31. oktober 2022. Logginformasjonen var metadata, som inneholdt telefonnumre som trådløse brukere ringte, hvor mange samtaler de foretok og hvor lenge samtalene varte til sammen. Det inkluderte også mobilnettstedsidentifikasjonsnumre for noen av disse samtalene.

De stjålne dataene inkluderte ikke PII som samtale- eller tekstinnhold, personnummer eller fødselsdatoer. Imidlertid, som AT&T bemerker i sin SEC arkivering for hendelsen, "Selv om dataene ikke inkluderer kundenavn, er det ofte måter, ved å bruke offentlig tilgjengelige nettverktøy, for å finne navnet knyttet til et spesifikt telefonnummer." Inkluderingen av mobilnettsteds-ID-er gjør det også mulig for folk å bruke dette datasettet til å analysere plasseringen av noen av disse samtalene – og dermed numrenes eiere.

Seks måneder med samtalelogger inneholder en stor mengde data. AT&T har uttalt at de vil informere 110 millioner kunder hvis samtaledata var involvert i databruddet. I sin innlevering sa den at den ikke trodde at dataene hadde blitt gjort offentlig tilgjengelig.

AT&T sendte inn SEC-dokumentasjonen for bruddet 12. juli, langt utenfor vinduet på fire dager. Det forsinket innleveringen i samsvar med forespørselen fra Justisdepartementet, da DOJ bestemte at innlevering av rapporten innen den normale fire-dagers tidsperioden som ble bedt om av SEC, ville være potensielt farlig. Det er fornuftig, gitt at bruddet tilsynelatende pågikk etter at teleselskapet først fikk vite om trusselaktørenes inntrenging. Samtaleloggdataene ble stjålet dager etter at AT&T sa at de hørte om innbruddet.

Bruddet skjedde ikke i AT&Ts systemer i det hele tatt. I stedet skjedde det gjennom en tredjeparts skyleverandør at selskapet i pressen identifiserte som skybasert datavarehusselskap Snowflake. Dette var ikke det eneste slike datatyveri fra Snowflake; ifølge Mandiant fikk 165 kunder data stjålet fra selskapets lagringssystemer. Dette så imidlertid ikke ut til å være et kodesårbarhet i Snowflakes programvare. Kundene som ble ofre for disse tyveriene, som inkluderte merker som Ticketmaster, hadde én ting til felles: deres kontolegitimasjon hadde blitt stjålet via skadelig programvare, og de brukte ikke multifaktorautentisering.

Hva kan vi lære av AT&T/Snowflake Breach?

Vi kan alle lære av feilene til kunder som er berørt av Snowball-bruddet, sier eksperter. "Organisasjoner bør ha en klar forståelse av den delte sikkerhetsansvarsmodellen som følger med leverandørrelasjoner og implementere robuste identitets- og tilgangsstyringskontroller på skyplattformer," sier Milda Petraityte, en forsker ved cybersikkerhetskonsulentselskapet S-RM.

Snowflake tok noen handlinger av seg selv, og introduserte en ny funksjon for kundenes administratorer håndheve obligatorisk MFA den 9. juli, nesten tre måneder etter at mengden av uautoriserte pålogginger til systemene begynte. Det er en start, men man lurer på hvorfor denne funksjonen ikke var på plass allerede – eller hvorfor det, i en ånd av ekte cybersikkerhet, ville være noen annen driftsmodell enn obligatorisk MFA.

Selskapene henger fortsatt langt etter i bruken av MFA. Ifølge CompTIAs 2024 State of Cybersecurity rapporterer at bare 41 % av selskapene inkluderer bruk av MFA i sine nettsikkerhetsstrategier. Bare 38 % bruker en form for styring av skyarbeidsbelastning.

Det andre problemet som fikk selskaper i problemer var å ikke oppdage og redusere legitimasjonstyveriet. "Flere selskaper var ikke klar over at de hadde blitt kompromittert med infotyvere, så legitimasjonen deres var tilgjengelig på det mørke nettet," påpeker Stephanie Schneider, en etterretningsanalytiker for cybertrusler hos passordbehandlerselskapet LastPass. Deteksjon er et kritisk trinn i enhver hendelsesresponsplan. Fordi selskaper ikke klarte å oppdage skadelig programvareinfeksjon som førte til legitimasjonstyveri og deretter ikke implementerte ekstra tilgangsbeskyttelse, forlot de seg selv sårbare.

Bedrifter kan lære om sikker praksis som disse i vanlige nettsikkerhetsstandarder. ISO 270001 nevner for eksempel eksplisitt sikre autentiseringsmetoder som ekstern enhetsautentisering i sin Vedlegg A 8.5 dokumentasjon. Den nevner også tiltak som å sjekke etter og forhindre bruk av uautorisert programvare, dyptgående beskyttelse mot skadelig programvare på tvers av flere infrastrukturelle punkter, og opplæring av ansatte til å være oppmerksomme på sosial utvikling og installere skadelig programvare i Kontroll 8.7 – Beskyttelse mot skadelig programvare.

Å implementere slike tiltak effektivt kan ha bidratt til å forhindre AT&Ts Snowflake-katastrofe, sammen med mange andre selskapers brudd via den skybaserte tjenesten. Imidlertid har teleselskapet hatt andre cybersikkerhetshendelser å stri med.

I mars i år uttalte AT&T at PII fra 73 millioner kunder fløt rundt på det mørke nettet, og de visste ikke hvor informasjonen kom fra. Disse dataene, som dukket opp fra et kompromiss i 2021, var nok til å utløse en class-action søksmål fra frustrerte kunder.

I januar 2023 rapporterte teleselskapet at PII fra ni millioner kundekontoer hadde blitt kompromittert via en av tredjeparts markedsføringspartnere. Dette fremhever behovet for robuste leverandørvurderinger og pågående tredjeparts sikkerhetsrevisjoner for å bidra til å sikre ikke bare selskapets eget nettverk, men hele dataøkosystemet.

Å administrere den typen økosystem er en utfordring for et selskap som er like vidstrakt som AT&T, spesielt gitt at det også solgte kundenes geolokaliseringsdata til tredjeparter uten deres samtykke. Dette er også et tegn på at vi trenger mer regulatoriske tiltak for å tvinge disse selskapene til å implementere robuste sikkerhets- og personvernkontroller.